基于宽带接入的局域网安全管理问题分析(2)

2.1 收集信息攻击：

经常使用的工具包括：NSS, Strobe，Netscan， SATAN（Security Aadministrator's Tool for Auditing Network),Jakal, IdentTCPscan, FTPScan等以及各种sniffer.广义上说，特洛依木马程序也是收集信息攻击的重要手段。收集信息攻击有时是其它攻击手段的前奏。对于简单的端口扫描，敏锐的安全管理员往往可以从异常的日志记录中发现攻击者的企图。但是对于隐秘的sniffer和trojan程序来说，检测就是件更高级和困难的任务了。

2.1.1 sniffer

它们可以截获口令等非常秘密的或专用的信息，甚至还可以用来攻击相邻的网络，因此，网络中sniffer的存在，会带来很大的威胁。这里不包括安全管理员安装用来监视入侵者的sniffer，它们本来是设计用来诊断网络的连接情况的.它可以是带有很强debug功能的普通的网络分析器，也可以是软件和硬件的联合形式。现在已有工作于各种平台上的sniffer，例如

· Gobbler(MS-DOS)
· ETHLOAD(MS-DOS)
· Netman(Unix)
· Esniff.c(SunOS)
· Sunsniff(SunOS)
· Linux-sniffer.c(Linux)
· NitWit.c(SunOS)
· etc.
检测sniffer的存在是个非常困难的任务，因为sniffer本身完全只是被动地接收数据，而不发送什么。并且上面所列的sniffer程序都可以在internet上下载到，其中有一些是以源码形式发布的(带有.c扩展名的)。

一般来讲，真正需要保密的只是一些关键数据，例如用户名和口令等。使用ip包一级的加密技术，可以使sniffer即使得到数据包，也很难得到真正的数据本身。这样的工具包括 secure shell（ssh），以及F-SSH， 尤其是后者针对一般利用tcp/ip进行通信的公共传输提供了非常强有力的，多级别的加密算法。ssh有免费版本和商业版本，可以工作在unix上，也可以工作在windows 3.1, windows 95, 和windows nt